Как организовать удаленную работу сотрудников?

Question

[dev0zxcb]

В свете последних событий, поступила задача, организовать удаленную работу ~700 пользователей.
Вводные:
1. Рабочие места пользователей - Windows 7 / Windows 10
2. Свободный сервер имеется
3. По сетевым железкам не подскажу, работаю пару дней, сетями занимаются другой отдел
4. Денег нет) (ну они есть, но нет времени что-то покупать)
5. Сделать надо еще вчера
6. Доступ на рабочую станцию пользователя - только RDP

Такие вот дела.
Как вариант думаем о Remote Desktop Gateway, но пока трудности с подключением.

Что предложите?

Comments

[chupasaurus]

RDG сервак может и не вывезти, если проц хилый (500 юзеров на одну тачку тяжеловато).

[dev0zxcb]

chupasaurus, да это понятно, хз чем думает руководство. Но изначально поставили задачу ребром, без ВПН О_О

[chupasaurus]

dev0zxcb, там есть профит в виде максимально простой настройки и поддержки.

[#]

посмотрите, хотя бы для ликбеза - ISA и TMG. легально было бы не дешево, но самая досада - МС просто уже закрыл эти продукты

тем не менее, в режиме "на виртуалке, для обучения" (то есть реально можно нарыть образа триалов на 30-60-90 дней, в зависимости от продукта.. я так думаю) рекомендовал бы попробовать:
- решает ваши проблемы "из коробки"
- все админки в гуях, как водится у МС
- на ходу догоняете базовый ликбез (при достаточной смекалке)

а вот в продакшен ставить стремно:
- при проверке можно загреметь за пиратку
- отсутсвие поддержки == дыры в защите

[rionnagel]

dev0zxcb, VPN!!!! С индивидульными правилами. А если начальство не согласно - ищите новое.

Answer 1

[Армянское Радио]

Мое решение (работеает уже давно). Работает на всем, что шевелится - Андроиды, Windows, Макинтоши.
SSH тоннель с ключами, защищенными пасскодами.

-ставим сервер с выходом в инет на белом IP
-отрубаем вход под рутом
-отрубаем шелл
-вешаем ssh на рандомный порт
-всем юзерам делаем персональные учетки, генерим ключи

На машине клиента (домашней):
нужен батник из одной строчки, программа plink.exe и закрытая часть ключа.

plink -P ПОРТ -l ЛОГИН -i КЛЮЧ_ЗАКРЫТЫЙ.PPH  -N -L 23389:МАШИНА_КЛИЕНТА_В_ОФИСЕ:3389 АДРЕС_ШЛЮЗА_В_ИНЕТЕ
pause

Клиент у себя врубает батник, вводит пасскод от ключа и подключается на адрес типа 127.0.0.1:23389, а SSH его уже туннелит куда надо.

Есть процедуры, позволяющие сгенерить ключи без визита сотрудников в офис.

Comments

[dev0zxcb]

Круто. Надеюсь завтра нам дадут канал, тогда будем пилить.
1. Какой именно сервер с белым ip?
2. Генерация ключей, возможно ли всех пользователей пустить по одной паре ключей? 700 ключей генерить и раздавать вообще геморой

[Армянское Радио]

dev0zxcb,
1. Любой линукс или фряха. Есть вот pfsense, он с веб-гуем, например, раздается в виде готового образа.
2. Тогда у вас в безопасности будет разве что дыра. Сгенерить и распихать ключи можно скриптом на баше.

[dev0zxcb]

Армянское Радио, принял, спасибо большое!

[Армянское Радио]

dev0zxcb, А какие у вас трудности с подключением? Интернетик в офисе есть?

[dev0zxcb]

Армянское Радио, трудности имеется следующие:
1. Центральная офис корпорации сказал, организуйте своими силами, интернет вам не дадим, железо тоже, Horizon не дадим, нам своих пользователей надо обеспечить. Соответственно, интернет вроде как нам выделяет провайдер, и дает отдельный канал (но это не точно), завтра утром будет известно что с интернетом и с каналом.
2. Следующая трудность в том, что у нас стоит UserGate, и сквозная аутентификация невозможна, но вроде согласовали, чтобы отключить его временно. Изначально вообще поставили задачу организовать удаленный доступ без VPN, соответственно смотрели в сторону RDGateway. Но работать отказывается. Его положительная сторона заключается в том, что нет гемороя для пользователя, установил сертификаты, в RDP указал адрес шлюза, и все, подключаешься по RDP к своему рабочему месту.

[dev0zxcb]

Армянское Радио, так же смотрим в сторону TMG + ISA

[Армянское Радио]

dev0zxcb, вам надо просто один порт через усергейт до сервера прокинуть.

[dev0zxcb]

Армянское Радио, прокидывали, бесполезно. Юзергейт пытается подсунуть свой сертификат, пользователю всплывает уведомление, что не удалось проверить сертификат, и все, установить сертификат нет возможности, просто кнопка не активна.

Answer 2

[Александр]

VPN на стороне вашего интернет провайдера и RDP на рабочих компьютерах. Идеально если интернет дома от этого же провайдера. Скорее всего провайдер запросит разумных денег за аренду и настройку VPN, а возможно и "за так".

Comments

[dev0zxcb]

боюсь, что слишком долго вся эта процедура будет организовываться. Но будем иметь ввиду, спасибо

[Александр]

Шлюз капризная вещь как и сервер, не факт что сразу взлетит да и RDP все равно должен быть настроен. А у инженеров провайдера есть опыт и оборудование. В крайнем случае можно у себя развернуть но это тоже время.

Answer 3

[res2001]

ВПН на базе OpenVPN.
Чуть более геморойно в подготовке, но зато это полноценный ВПН со всеми плюшками, который неограничен одним RDP. Понимаю, что и в клиентский батник, предложенный Армянское Радио, можно добавить почти все что нужно, но это же надо каждого клиента обновить будет.
Сервер может быть как под виндой, так и под линуксом (и прочими никсами). Ключи то же можно нагенерировать скриптом, процесс чуть более сложный чем для ключей SSH, но они формируют полноценную PKI, при желании даже списки отзыва прикручиваются.
Клиентские конфиги можно делать одинаковыми. От клиента потребуется установить openvpn по дефолту, закинуть конфигурационный файл и ключи в нужные каталоги и запустить GUI (так же можно настроить и службу).

Comments

[dev0zxcb]

Спасибо, тоже будем рассматривать как вариант, пока все зависит от провайдера и руководства, дадут или нет отдельный канал

[Армянское Радио]

а потом могут быть веселые пляски с бубном
"-а у меня мак",
"-а у меня антивирус сожрал виртуальный сетевой адаптер"
"-а у меня планшет"
"-я упал"
"-зоопарк вирусов с юзерского пека (обновляли в 2012 году, да) попал в офисную сеть и захватил все, даже кулер, даже вайфай"

[dev0zxcb]

Армянское Радио, да нюансов в любом случае много, огромный нюанс в том, что ты не знаешь что за тачка у пользователя дома. Будем надеяться на ленивость пользователей работать дома, и не будут создавать нам дополнительные проблемы))

[res2001]

Армянское Радио, Про кулер улыбнуло :)
Из всего списка только зоопарк вирусов представляет собой некоторую проблему.

[Армянское Радио]

dev0zxcb, поэтому и решается все с минимальным влезанием в юзерскую систему - батник, который заведется даже на 32 битной икспихе + стандартный клиент.

[Армянское Радио]

res2001, при 700х клиентах эти проблемы придется разгребать год. Решение с SSH доступно кузнецу средней квалификации - выдаем файлик и все. Даже локального админа не требует.

[dev0zxcb]

Армянское Радио, да я тоже считаю это оптимальным решением ситуации, будем ковырять завтра

[res2001]

Армянское Радио, Cогласен. Решение хорошее. Сам пользуюсь. Но есть свои ограничения.
OpenVPN предложил как альтернативный хороший вариант. OpenVPN то же использую, чаще чем ssh.

Answer 4

[Gregory]

как и писали выше ssh +rdp https://habr.com/ru/post/319158/
и vpn с простеньких интерфейсом для клиентов такие как у softether vpn и аналоги для openvpn

Answer 5

[y2k]

У ТС'а 700 юзеров и чисто виндовая сетка, а вы ему какие-то костыли с SSH и VPN советуете...
Разбирайтесь с RD Gateway - там ничего сложного. Работает как часы. Разве что пару раз приходилось вручную устанавливать обновления протокола на Windows 7.

Comments

[dev0zxcb]

Все верно про сетку. В общем, крутится RDG, бывает конечно у некоторых пользователей ошибка, не могут достучаться до шлюза, минут через 30 соединяет. В чем проблемы хз, пока некогда разбираться. Причем, если пинговать шлюз, резолвит правильный ip, но все равно, не удалется подключиться к шлюзу. Чаще такая проблема с Windows 7 связана. Из могучего гугла есть пару решений, но не всегда помогает. В общем. костыли пока работают)

[y2k]

Шлюз не на 2008 R2 Standard? А то там вроде как лимит на 250 подключений

[dev0zxcb]

y2k, 2012 R2, ну пока не было трудностей с ограничением, ежедневно держит 500+ сессий